web应用安全发展与介绍

Posted 2020-10-01 たLOME

1 安全与安全圈的认识

　　中国黑客的发展过程：1990年代初，部分人开始研究黑客技术 1997-1999年，黑客团队涌现，进入黄金时代， 21世纪初，黑客工具傻瓜化，门槛降低，黑客精神不在…

　　圈内熟知的安全公司： 绿盟、知道创宇、安天、启明星辰、安恒、天融信…

　　安全公司可以分为两类：

　　　　甲方：如腾讯、阿里等需要安全服务的公司（这类公司有自己的互联网产品也有自己的安全团队，安全团队就是保障自己的产品安全）

　　　　乙方：提供安全服务、产品的服务型安全公司（这类公司主要是提供安全服务和安全产品）

 

　　安全的技术方向：

　　　　web安全：研究web应用安全

　　　　二进制安全：研究如客户端安全等

 　　

2 web应用的发展与web安全的发展

　　Web应用经历了开始、1.0以及现在3.0概念的出现，不断的发展：

　　　　 20世纪60年代IBM的GML（通用标记语言）以及发展到后来的SGML（标准通用标记语言）

　　　　20世纪90年代，html的出现 浏览器的出现与发展

　　　　2004之后，XMLHttpRequest的出现将Web推向2.0时代 而现在，开始出现Web3.0的概念

 

　　Web安全跟随着Web应用的发展也不断发展着：

　　　　 Web 1.0时代，更多被关注的是服务器端的脚本的安全问题，如SQL注入等

　　　　 Web 2.0时代，2005年Samy蠕虫的爆发震惊了世界，Web安全主战场由服务器端转换到浏览器

　　　　SQL注入和XSS的出现发别是Web安全史上的两个里程碑

 

 

3 web安全隐患与本质

　　Web安全的本质是信任问题 ：

　　　　由于信任，正常处理用户恶意的输入导致问题的产生

　　　　非预期的输入

　　　　安全是木桶原理，短的那块板决定的木桶世纪能装多少水，同样的，假设把99%的问题都处理了，那么1%的余留会是造成安全问题的那个短板